Apa Itu Flash Loan: Crypto Borrow dan Serangan Flash Loan
Pada 17 April 2022, seorang penyerang anonim meminjam lebih dari $1 miliar dalam satu transaksi atomik dari Aave, Uniswap, dan SushiSwap, membeli cukup token tata kelola Stalk di protokol stablecoin Beanstalk untuk meloloskan proposal jahat, menguras kas, dan melunasi semuanya sebelum blok ditutup. Kerugian bersih: $182 juta. Waktu yang berlalu: satu blok Ethereum, sekitar 13 detik. Penyerang tersebut tidak pernah memiliki uang sendiri. Inilah yang disebut flash loan, dan inilah juga mengapa primitif ini memiliki reputasi yang aneh di DeFi.
Jadi, apa sebenarnya flash loan itu? Flash loan adalah pinjaman tanpa jaminan yang hanya ada karena blockchain bersifat atomik. Anda meminjam sejumlah token yang Anda inginkan, menggunakannya, dan membayar kembali semuanya dalam satu transaksi. Jika Anda gagal membayar kembali pokok ditambah biaya, seluruh transaksi akan dibatalkan seolah-olah tidak terjadi apa-apa. Tidak ada pengecekan kredit, tidak ada jaminan di muka, tidak ada KYC. Karena flash loan tidak memerlukan hal-hal tersebut, flash loan berfungsi sebagai jenis pinjaman yang tidak memiliki padanan dalam keuangan tradisional. Dalam panduan ini tentang apa itu flash loan dalam ekosistem DeFi: bagaimana cara kerjanya dalam kode EVM, kasus penggunaan nyata, eksploitasi terbesar dari tahun 2020 hingga 2025, bagaimana Aave, Balancer, dan Uniswap dibandingkan sebagai penyedia, dan bagaimana protokol melindungi diri mereka sendiri pada tahun 2026.
Apa itu flash loan dan bagaimana cara kerjanya?
Pinjaman kilat (flash loan) adalah jenis pinjaman tanpa agunan yang unik untuk keuangan terdesentralisasi (DeFi), dan merupakan contoh paling jelas dari primitif bergaya kilat di pasar DeFi. Anda memanggil fungsi pada protokol pinjaman, protokol mentransfer jumlah token yang diminta ke kontrak Anda, kontrak Anda menjalankan logika arbitrer dengan dana tersebut, dan kemudian protokol menarik kembali pokok ditambah biaya kecil sebelum transaksi berakhir. Jika pool tidak dapat mengumpulkan apa yang menjadi haknya, seluruh transaksi dibatalkan dan tidak ada perubahan status yang bertahan. Dari sudut pandang protokol, pinjaman tersebut tidak pernah terjadi. Pinjaman kilat memiliki reputasi yang kontroversial karena primitif yang sama yang memungkinkan pengembang meminjam aset tanpa agunan di muka juga memungkinkan penyerang mengakses bug yang dulunya membutuhkan uang sungguhan untuk dieksploitasi.
Istilah ini pertama kali muncul dalam desain Marble Protocol tahun 2018 untuk "bank kontrak pintar" yang memungkinkan pengembang mengeksekusi pinjaman tanpa jaminan atomik di Ethereum. Namun, pinjaman kilat (flash loan) baru menjadi populer ketika Aave meluncurkannya sebagai bagian dari Aave V1 di mainnet Ethereum pada Januari 2020. Postingan blog Aave yang mengumumkan fitur tersebut, yang ditulis oleh Marc Zeller, menggambarkannya sebagai cara untuk memberikan pengguna DeFi ritel akses likuiditas instan yang sama seperti yang selalu dimiliki oleh hedge fund di bidang keuangan tradisional. Dalam setahun, Aave telah memproses sekitar $2 miliar dalam pinjaman kilat. Pada tahun 2025, volume pinjaman kilat protokol tersebut telah tumbuh menjadi sekitar $7,5 miliar dalam satu periode tiga bulan bergulir, menurut data TradingView.
Cara kerja flash loan dalam satu transaksi
Setiap transaksi blockchain bersifat atomik. Setiap baris kode di dalamnya akan berjalan dengan sukses, atau tidak sama sekali. Pinjaman kilat (flash loan) memanfaatkan properti ini. Pemanggil menyebarkan kontrak yang mengimplementasikan antarmuka penerima penyedia dan kemudian memanggil fungsi seperti `flashLoan()` pada kumpulan pinjaman. Berikut urutannya:
1. Kontrak Anda memanggil `flashLoan()` pada pool Aave, meminta sejumlah token tertentu.
2. Pool tersebut mentransfer token-token tersebut ke kontrak Anda dan memanggil callback `executeOperation` Anda.
3. Kontrak Anda menjalankan logika arbitrer apa pun yang dibutuhkannya: pertukaran DEX, likuidasi, pemungutan suara tata kelola.
4. Sebelum panggilan balik dilakukan, kontrak Anda menyetujui penarikan kembali pokok ditambah biaya premi oleh pengelola dana.
5. Dana ditarik dari kumpulan dana. Jika saldo kurang meskipun hanya satu wei, seluruh transaksi akan dibatalkan.
Pinjaman kilat (flash loan) tidak mungkin dilakukan pada blockchain mana pun yang tidak mendukung transaksi atomik, itulah sebabnya mengapa pinjaman ini tetap menjadi primitif asli EVM. Seluruh transaksi bergantung pada atomisitas. Tidak ada skenario di mana seorang pengembang memulai pinjaman kilat, meminjam dana, dan kemudian gagal membayar kembali pinjaman tersebut, karena blockchain tidak akan membiarkan keadaan tersebut bertahan. Seluruh transaksi dibatalkan, dan semua orang pergi seolah-olah tidak terjadi apa-apa. Itulah juga mengapa pinjaman kilat tidak memerlukan jaminan di muka, penilaian kredit, atau kepercayaan pada peminjam. Jika peminjam gagal membayar kembali pinjaman pada akhir transaksi, pinjaman tidak dibayar dan keadaan dikembalikan. Gagal bayar pinjaman kilat secara matematis tidak mungkin terjadi di dalam kumpulan pinjaman yang dijamin dengan agunan yang mendukung mekanisme ini.
Standar ERC-3156 tahun 2020 memformalkan antarmuka flash loan di seluruh Ethereum dengan dua kontrak: `IERC3156FlashLender` (yang harus diimplementasikan oleh pool) dan `IERC3156FlashBorrower` (yang harus diimplementasikan oleh kontrak Anda). Standar ini menyatukan serangkaian implementasi flash loan yang sebelumnya terfragmentasi dengan model pembayaran push/pull yang tidak konsisten.
Beginilah tampilan flash loan yang digunakan di DeFi sehari-hari.
Sebagian besar volume flash loan membosankan. Mayoritas flash loan yang digunakan di pasar DeFi ditujukan untuk strategi sah yang mendapat manfaat dari akses jangka pendek ke sejumlah besar token. Flash loan memungkinkan pengguna biasa untuk mengambil flash loan dan mendapatkan keuntungan di atas kemampuan mereka, persis seperti yang dilakukan hedge fund di pasar tradisional, hanya saja tanpa hubungan perbankan. Protokol seperti Aave mendukung flash loan secara native, dan protokol DeFi seperti Aave telah menjadikan mekanisme ini sebagai blok bangunan inti untuk strategi on-chain.
- Arbitrase: kasus penggunaan terbesar. Bot mendeteksi perbedaan harga antara dua DEX untuk pasangan mata uang yang sama, meminjam modal dalam jumlah cukup untuk menutup selisih harga, mengeksekusi perdagangan lintas DEX, dan mengambil keuntungan dari spread. Keuntungan arbitrase membantu menyelaraskan harga di berbagai platform.
- Penukaran jaminan: Anda memiliki pinjaman yang masih berjalan di Aave dengan jaminan ETH, dan Anda ingin menukar jaminan tersebut dengan wBTC tanpa menutup posisi. Pinjaman kilat memungkinkan Anda untuk melakukan pembiayaan ulang dalam satu transaksi.
- Likuidasi mandiri: jika posisi Anda akan dilikuidasi oleh bot yang mengenakan penalti 5-15%, Anda dapat melakukan flash loan sejumlah uang untuk likuidasi, menutup posisi Anda sendiri, dan menyimpan penalti tersebut untuk diri Anda sendiri.
- Pembiayaan ulang utang: memindahkan pinjaman yang belum lunas dari satu protokol pinjaman ke protokol lain dengan suku bunga yang lebih baik, dalam satu transaksi.
- Likuidasi: bot likuidator profesional menggunakan pinjaman kilat untuk menyediakan modal yang dibutuhkan untuk melikuidasi posisi yang tidak dijaminkan dan mengantongi bonusnya.
Delegasi kredit adalah fitur Aave yang memungkinkan depositor mendelegasikan daya pinjaman ke alamat lain. Fitur ini berbeda dari flash loan tetapi sering dikombinasikan dengannya dalam strategi DeFi yang kompleks. Dalam semua strategi tersebut, wawasan utamanya sama: flash loan mendemokratisasi akses ke modal bagi siapa pun yang dapat menulis kode Solidity.
Arbitrase, pertukaran jaminan, dan kasus penggunaan lainnya
Arbitrase adalah contoh klasik karena perhitungannya sangat akurat. Bayangkan ETH diperdagangkan seharga $3.000 di Uniswap dan $3.010 di SushiSwap. Seorang pencari mengambil pinjaman kilat sebesar $3 juta USDC dari Aave, membeli 1.000 ETH di Uniswap seharga $3.000.000, menjual 1.000 ETH tersebut di SushiSwap seharga $3.010.000, membayar kembali Aave $3.000.000 ditambah premi 0,05% ($1.500), dan mendapatkan keuntungan sekitar $8.500 dalam satu transaksi. Biaya gas akan mengurangi sebagian keuntungan tersebut, tetapi perhitungannya tetap akurat jika selisih harganya cukup besar. Contoh arbitrase inilah yang menjadikan pinjaman kilat sebagai alat standar untuk menutup perbedaan harga di berbagai pasar.
Pertukaran agunan memberikan manfaat yang sama dalam arah yang berbeda. Katakanlah Anda membuka pinjaman $100.000 menggunakan agunan peminjam (ETH) di Aave, dan sekarang Anda khawatir ETH akan turun. Biasanya Anda perlu membayar kembali pinjaman, membuka kunci ETH Anda, menjualnya untuk wBTC, menyetorkan kembali, dan membuka kembali posisi, sambil menanggung selisih harga di setiap langkah. Pinjaman kilat memungkinkan Anda melakukan semua itu dalam satu transaksi atomik: meminjam $100.000 yang dibutuhkan untuk menutupi pinjaman menggunakan dana baru, menutup pinjaman asli, menerima ETH, menukarkannya dengan wBTC, menyetorkan wBTC sebagai agunan baru, membuka kembali pinjaman, dan membayar kembali pinjaman kilat. Posisi Anda tidak pernah dibiarkan tanpa pengawasan. Itulah kekuatan pertukaran agunan dalam satu panggilan atomik.
Banyaknya peluang unik untuk arbitrase di berbagai pasar di DeFi adalah salah satu alasan mengapa flash loan terus berkembang bahkan setelah eksploitasi besar-besaran. Setiap AMM baru, setiap protokol pinjaman baru, dan setiap blockchain baru menambahkan serangkaian celah harga lain yang dapat ditutup oleh pencari dengan flash loan.
Penyedia pinjaman kilat: Aave, Balancer, Uniswap
Empat penyedia mendominasi pasar flash loan pada tahun 2026. Masing-masing memiliki pendekatan yang sedikit berbeda terkait biaya dan kompleksitas integrasi.
| Penyedia | Biaya | Fitur penting | Rantai yang didukung |
|---|---|---|---|
| Aave V3 | 0,05% dari pokok (dapat disesuaikan dengan tata kelola, sebelumnya 0,09% di V2) | Platform flash loan terbesar, mendukung lebih dari 30 aset, volume $7,5 miliar pada tahun 2025. | Ethereum, Polygon, Avalanche, Arbitrum, Optimisme, Base, dan lainnya |
| Brankas Penyeimbang | 0% (nol sesuai desain) | Arsitektur brankas tunggal, tempat termurah untuk pinjaman sederhana. | Ethereum, Poligon, Arbitrum, Optimisme, Gnosis |
| Pertukaran flash Uniswap V3 | Tingkat biaya pertukaran pool: 0,01%, 0,05%, 0,30%, atau 1,00% | Likuiditas tertinggi tetapi integrasi lebih kompleks. | Ethereum, Polygon, Arbitrum, Optimism, Base, dan lainnya |
| dYdX (historis) | ~0 (pokok + 2 wei) | Set aset terbatas (ETH, DAI, USDC), dimigrasikan ke appchain Cosmos di v4 | Ethereum (v1-v3) |
| Penyeimbang | Variabel, bergantung pada kolam renang | Platform pinjaman kilat yang dirancang khusus. | Ethereum |
Aave adalah pilihan default bagi sebagian besar pengembang. Platform ini memiliki likuiditas terdalam, menu aset terbesar, dan antarmuka penerima yang terdokumentasi dengan baik. Balancer adalah platform termurah jika Anda hanya membutuhkan satu aset dan tidak keberatan dengan mekanisme vault. Flash swap Uniswap secara teknis bukanlah flash loan (melainkan pertukaran token atomik dengan pembayaran tertunda), tetapi memiliki tujuan yang sama untuk arbitrase dan seringkali memiliki likuiditas yang lebih baik untuk pasangan tertentu. Era flash loan dYdX secara efektif berakhir pada tahun 2023-2024 ketika protokol tersebut bermigrasi ke appchain berbasis Cosmos miliknya sendiri, sehingga flash loan-nya sekarang menjadi catatan sejarah dan bukan lagi platform aktif.
Pinjaman kilat vs pinjaman tradisional dalam keuangan
Membandingkan flash loan dengan pinjaman tradisional hampir tidak adil karena keduanya termasuk dalam kategori yang berbeda. Pinjaman tradisional memerlukan jaminan di muka, pengecekan kredit, biasanya beberapa bentuk KYC, dan berlangsung selama berbulan-bulan atau bertahun-tahun dengan pembayaran bulanan. Flash loan tidak memerlukan semua itu. Satu-satunya "jaminan" adalah atomisitas itu sendiri, yang diberlakukan oleh EVM. Satu-satunya "jangka waktu" adalah transaksi tunggal yang Anda ikuti.
Inilah pertimbangan yang seringkali dilewatkan oleh para pendatang baru. Pinjaman tradisional berguna untuk segala hal yang harus bertahan lebih dari satu blok: membeli rumah, membayar biaya kuliah, membiayai bisnis. Pinjaman kilat (flash loan) tidak berguna untuk hal-hal tersebut karena pokok pinjaman harus dikembalikan ke kumpulan dana sebelum transaksi berakhir, dan pinjaman dilunasi di dalam blok yang sama atau tidak pernah ada. Keunggulan pinjaman kilat sebenarnya terletak pada pelaksanaan operasi keuangan terprogram di dalam satu blok: arbitrase, likuidasi, atau pertukaran jaminan. Karena pinjaman kilat hanya dapat ada dalam satu transaksi, pinjaman ini merupakan alat untuk mekanisme DeFi tertentu, bukan sumber pendanaan untuk pengeluaran di dunia nyata. Anggaplah pinjaman kilat sebagai jenis mekanisme pinjaman baru yang asli untuk kontrak pintar DeFi, bukan sebagai pengganti hipotek.
Sifat atomik inilah yang juga menjadi alasan mengapa flash loan tidak mungkin dilakukan di luar ekosistem EVM saat ini. Solana, rantai berbasis Move, dan lingkungan eksekusi non-atomik tidak menerapkan jaminan yang sama. Flash loan sepenuhnya berada di dunia kumpulan pinjaman yang dijamin dengan agunan yang dapat dengan aman membayarkan jutaan dolar karena mereka tahu dana tersebut dijamin akan kembali.
Serangan flash loan: eksploitasi terbesar 2020-2025
Pinjaman kilat (flash loan) memiliki reputasi kontroversial, dan hal ini hampir seluruhnya berasal dari perannya dalam eksploitasi DeFi. Laporan Halborn's Top 100 DeFi Hacks 2025 memperkirakan bahwa pinjaman kilat digunakan dalam 83,3 persen eksploitasi DeFi yang memenuhi syarat selama tahun 2024. Angka tersebut tampak menakutkan sampai Anda menyadari sesuatu yang penting: pinjaman kilat bukanlah kerentanan itu sendiri. Pinjaman kilat adalah pengganda kekuatan. Setiap serangan pinjaman kilat besar mengeksploitasi bug yang sudah ada sebelumnya (oracle yang dapat dimanipulasi, kesalahan pembulatan, kontrak tata kelola tanpa penguncian waktu) yang memungkinkan penyerang untuk mengaksesnya tanpa perlu memiliki ratusan juta dolar terlebih dahulu.
| Tanggal | Protokol | Kehilangan | Akar penyebab |
|---|---|---|---|
| Februari 2020 | bZx | ~$954.000 | Insiden penting pertama, memanipulasi Uniswap v1 sebagai oracle. |
| 26 Oktober 2020 | Keuangan Panen | $33,8 juta | Pinjaman kilat USDC senilai $50 juta dari Uniswap memanipulasi harga y-pool Curve. |
| 27 Oktober 2021 | Cream Finance | $130 juta | Manipulasi harga yUSD di 68 aset dalam satu transaksi |
| 17 April 2022 | Pohon kacang | $182 juta | Memberikan pinjaman kilat lebih dari $1 miliar untuk meloloskan proposal tata kelola yang berbahaya; tanpa batasan waktu. |
| 11 Oktober 2022 | Pasar Mangga | $116 juta (SEC) | Avraham Eisenberg menggelembungkan oracle MNGO untuk meminjam dengan jaminan palsu. |
| 16 Februari 2023 | Keuangan Platipus | $8,5 juta | Pinjaman kilat USDC $44 juta dari Aave mengalami masalah darurat. Penarikan cek solvabilitas. |
| 13 Maret 2023 | Keuangan Euler | $197 juta | Bug pada donateToReserves; penyerang mengembalikan semua dana beberapa minggu kemudian. |
| 2 Januari 2024 | Ibu Kota Bercahaya | $4,5 juta | Masalah pembulatan pada fork Compound/Aave di pasar USDC Arbitrum yang baru. |
| 14 April 2025 | KiloEx | $7,5 juta | Manipulasi oracle harga lintas rantai; semua dana dikembalikan dalam 4 hari. |
Ini hanyalah kasus-kasus terbesar. Polanya tetap sama setiap kali: sebuah smart contract di suatu tempat membaca harga atau saldo dengan cara yang dapat dimanipulasi di dalam satu blok, dan flash loan memberi penyerang cukup daya tembak untuk mendorong pembacaan tersebut jauh dari nilai wajarnya. Serangan-serangan terhadap protokol DeFi tersebut mendanai berbagai jenis serangan, mulai dari manipulasi oracle sederhana hingga pengambilalihan tata kelola secara penuh. Total pencurian kripto di semua vektor pada tahun 2024 adalah $1,49 miliar menurut Chainalysis, dan pada tahun 2025 melonjak menjadi $3,4 miliar, meskipun sebagian besar berasal dari satu pelanggaran bursa Bybit pada Februari 2025 ($1,5 miliar). Kerugian khusus DeFi tetap lebih stabil karena pengerasan oracle dan pengujian invarian menjadi standar.
Bagaimana peramal harga berubah menjadi serangan pinjaman kilat
Pada intinya, setiap eksploitasi flash loan besar adalah kisah manipulasi oracle. Mekanismenya sama di sebagian besar kasus. Sebuah protokol perlu mengetahui harga suatu aset untuk membuat keputusan, seringkali nilai jaminan dari posisi peminjam. Protokol membaca harga tersebut dari suatu tempat di blockchain. Jika tempat tersebut adalah satu pool DEX yang dapat dipindahkan melalui perdagangan besar, maka flash loan adalah alat yang tepat untuk memindahkannya.
Berikut adalah arketipe tersebut, langkah demi langkah. Seorang penyerang meminjamkan uang tunai sebesar $100 juta USDC dari Aave. Mereka memasukkan semuanya ke dalam pool DEX target sebagai imbalan token X, sehingga mendorong harga X naik 300 persen di pool tersebut. Mereka meminjam sebanyak yang akan dipinjamkan oleh protokol korban dengan jaminan X mereka yang sekarang telah terinflasi. Mereka mengembalikan pool ke harga semula dengan perdagangan sebaliknya. Mereka melunasi pinjaman tunai Aave. Mereka menyimpan kelebihan dana pinjaman. Seluruh proses dieksekusi dalam satu transaksi. Protokol korban hanya membaca harga yang terinflasi sekali, selama jendela waktu penyerang, dan kontrak korban tidak memiliki cara untuk mengetahui perbedaannya.
Inilah yang terjadi pada bZx pada Februari 2020, dan hal serupa juga terjadi pada hampir setiap eksploitasi flash loan terkait oracle sejak saat itu. Perbaikannya pada prinsipnya cukup sederhana: jangan mengandalkan oracle harga yang dapat dipindahkan di dalam satu blok. Namun dalam praktiknya, industri membutuhkan waktu beberapa tahun dan kerugian ratusan juta dolar untuk benar-benar menerapkan perbaikan tersebut secara massal.
Meredakan serangan flash loan pada tingkat protokol.
Strategi untuk bertahan melawan serangan flash loan telah menguat secara signifikan sejak tahun 2020. Jika Anda membangun protokol DeFi pada tahun 2026, ini adalah pertahanan wajib, bukan hal baru.
- Oracle TWAP (time-weighted average prices) membaca harga rata-rata selama N blok sebelumnya, biasanya 30 menit. Pinjaman kilat satu transaksi tidak dapat mengubah rata-rata 30 menit secara signifikan, sehingga TWAP menetralkan manipulasi harga spot. Uniswap V2 dan V3 menyediakan akumulator kumulatif TWAP bawaan.
- Chainlink Price Feeds mengumpulkan data VWAP off-chain dari banyak bursa dan memperbaruinya secara asinkron. Untuk memanipulasi feed Chainlink, penyerang harus merusak lebih dari setengah node oracle independen dari feed tersebut, bukan hanya memindahkan satu pool DEX. Inilah alasan mengapa sebagian besar protokol pinjaman modern menggunakan Chainlink sebagai oracle utama mereka.
- Pengamanan re-entrancy mencegah kontrak flash-loaned masuk kembali ke korban selama callback-nya. Modifier `nonReentrant` OpenZeppelin adalah implementasi standarnya.
- Pembatasan waktu tata kelola menunda setiap tindakan tata kelola selama 24 hingga 48 jam antara pengesahan proposal dan pelaksanaannya. Mayoritas suara yang diperoleh melalui pinjaman kilat akan hilang jauh sebelum dapat digunakan. Kerugian Beanstalk sebesar $182 juta pada April 2022 tidak akan mungkin terjadi jika menggunakan pembatasan waktu dasar.
- Mekanisme jeda dan pemutus sirkuit memberi dewan DAO kunci darurat untuk menghentikan protokol secara instan. Radiant Capital menggunakan hal ini pada Januari 2024 untuk menghentikan kerugian enam detik setelah pasar USDC-nya yang rentan diluncurkan.
- Pengujian invarian dan berbasis properti dengan Foundry atau Echidna menangkap bug kasus khusus seperti masalah `donateToReserves` di Euler Finance sebelum mainnet. Setelah Euler, ini menjadi praktik standar untuk setiap basis kode yang memenuhi standar audit.
Kombinasi dari berbagai strategi pertahanan inilah yang menyebabkan rasio kerugian DeFi terhadap TVL DeFi terus menurun sejak tahun 2022, bahkan ketika TVL kembali meningkat. Pinjaman kilat (flash loan) tidak menjadi kurang ampuh. Protokol menjadi lebih baik dalam membaca harga.
Pinjaman kilat, pencucian uang, dan pelacakan blockchain.
Pinjaman kilat (flash loan) juga menjadi perhatian kecil namun nyata bagi tim kepatuhan on-chain. Argumennya bukanlah bahwa pinjaman kilat itu sendiri mencuci uang, karena pokok pinjaman harus kembali ke pool dalam transaksi yang sama. Kekhawatiran sebenarnya adalah bahwa pinjaman kilat dapat dihubungkan dengan mixer, jembatan lintas rantai (cross-chain bridge), dan agregator swap untuk memecah jejak dana curian dengan cara yang membuatnya lebih sulit untuk diatribusikan. Serangan Protokol Zunami tahun 2024 menggunakan manipulasi berbasis pinjaman kilat tunggal untuk mengekstrak sekitar $2,1 juta, dan sebagian dari hasil tersebut berpindah melalui beberapa protokol sebelum sampai di alamat mixer.
Dari sisi positif, setiap flash loan adalah transaksi EVM yang sepenuhnya publik. Perusahaan analitik seperti Chainalysis, TRM Labs, dan Elliptic dapat merekonstruksi urutan panggilan yang tepat setelah kejadian, termasuk penyedia flash loan, jumlah yang dipinjam, dan setiap interaksi kontrak hilir. Penyerang Euler Finance ("Jacob") dilacak secara publik hampir secara real time pada Maret 2023 dan akhirnya mengembalikan semua dana, sebagian karena jejak on-chain tidak ambigu. Flash loan tidak membuat penyerang anonim. Mereka hanya mempersingkat waktu antara eksploitasi dan penyelesaian yang bersih.
Pertumbuhan volume dan kondisi pinjaman kilat tahun 2024-2026
Pinjaman kilat (flash loan) diam-diam mencapai jatuh tempo selama tahun 2024 dan 2025. Volume pinjaman kilat V3 Aave mencapai sekitar $7,5 miliar dalam periode tiga bulan bergulir pada tahun 2025 menurut liputan TradingView, dengan protokol tersebut memimpin pinjaman DeFi secara keseluruhan dengan sekitar $25 miliar pinjaman yang beredar dari semua jenis menurut The Block. Balancer mempertahankan biaya pinjaman kilat 0 persen melalui beberapa pemungutan suara tata kelola, khususnya untuk menjaga agar integrasi pengembang terus berlanjut. Pertukaran kilat Uniswap V3 tetap menjadi pilihan utama ketika pencari membutuhkan kedalaman pasangan tertentu daripada pinjaman tujuan umum.
Kerentanan tidak hilang sepenuhnya, tetapi rata-rata ukurannya menjadi lebih kecil. Radiant Capital kehilangan $4,5 juta enam detik setelah meluncurkan pasar USDC yang cacat di Arbitrum pada 2 Januari 2024. KiloEx kehilangan $7,5 juta pada 14 April 2025 akibat eksploitasi manipulasi oracle lintas rantai, dengan semua dana dikembalikan empat hari kemudian sebagai imbalan atas hadiah $750.000 untuk peretas etis (white-hat). Kedua peristiwa tersebut jauh lebih kecil dibandingkan era 2021-2023 yang mengalami kerugian lebih dari $100 juta dalam satu hari, dan keduanya berhasil dideteksi dan diatasi dengan cepat.
Kisah terpenting tahun 2025 adalah dari segi hukum, bukan teknis. Juri Manhattan menghukum Avraham Eisenberg pada April 2024 atas eksploitasi Mango Markets senilai $116 juta, memperlakukan manipulasi oracle yang didorong oleh flash loan sebagai penipuan kawat dan manipulasi komoditas. Kemudian pada 23 Mei 2025, Hakim Arun Subramanian membatalkan semua hukuman pidana berdasarkan alasan yurisdiksi dan unsur-unsurnya. Putusan tersebut tidak mendukung pembelaan Eisenberg bahwa perdagangan itu adalah "manipulasi pasar yang legal," tetapi menetapkan kembali dasar hukum tentang bagaimana eksploitasi flash loan dituntut di Amerika Serikat.
Intinya adalah pinjaman kilat di tahun 2026.
Flash loan adalah salah satu inovasi DeFi yang paling bersih dan salah satu yang paling disalahpahami. Flash loan tidak secara inheren berbahaya. Flash loan bukanlah kerentanan. Flash loan adalah fitur dasar yang memberikan akses likuiditas instan kepada siapa pun yang memiliki kontrak, sama seperti yang dulu dimonopoli oleh hedge fund, dan sebagian besar volume flash loan pada tahun 2026 adalah operasi arbitrase dan pembiayaan ulang yang membosankan yang membantu harga DeFi tetap selaras. Serangan-serangan tersebut menjadi berita utama, tetapi volumenya berasal dari para pencari yang menjaga efisiensi pasar.
Sisi lain dari masalah ini adalah bahwa protokol apa pun yang membaca harga, saldo, atau ambang batas pemungutan suara dengan cara yang dapat dimanipulasi di dalam satu blok pada akhirnya akan diuji oleh flash loan. Respons yang tepat bukanlah melarang flash loan (Anda tidak bisa). Respons yang tepat adalah membangun protokol yang tetap akurat bahkan ketika penyerang mengendalikan miliaran dolar untuk sementara waktu. Oracle TWAP, feed Chainlink, timelock tata kelola, dan pengujian invarian bukan lagi pilihan. Itu adalah biaya untuk beroperasi di blockchain tempat flash loan ada.
